Phishing Correos «Su paquete no se pudo entregar»
Desde el final del confinamiento covid-19 del verano 2020, han prosperado los Smishings de Correos, es decir mensajes SMS maliciosos que pretenden robar a sus receptores. Sin embargo, como cualquier cosa que "funciona bien" por SMS: ¿porqué no probar a convertirlo en un scam de email? Email de suplantación de Correos.
El análisis de este email spam scam (unión de correo no solicitado e intento de fraude de algún tipo) aporta detalles que pueden prevenirnos antes estos mensajes y pone en relieve la ingeniería social típica aplicada a estos casos.
En este caso es bien sencillo: el temor a perder un supuesto paquete cuyo contenido desconocemos (o que dé la casualidad nada rara que estemos esperando un paquete, por ejemplo de una compra online) se une a la irrisoria cantidad de un euro con algo, una cifra que en caso de perderse no duele al bolsillo.
Pero lo hará, porque los ciberladrones tienen paciencia y tienden miles y miles de estas trampas a diario con herramientas (servidores y software) cuyo alquiler les cuesta aproximadamente un 0,17% del botín que vamos a calcular...
Imagina ganar cada día -libre de impuestos y restando un 0,17% de costes- el 9% de 1,60€ multiplicado por 500.000 envíos.
Eso son 72.000€ limpios. Cada día.
Email de suplantación de Correos
Proyecto Safe TIC contra el Fraude Online
Pero la cosa no se acaba en estos 72.000€ diarios... Lo que realmente te va a doler en los bolsillos es que al pagar la supuesta tarifa de 1,60€ (o los que indique el mensaje) lo haces en una web maliciosa, no en el servidor seguro de correos.es
En ella pueden hacer lo que les de la gana, suplantando totalmente la identidad de Correos te van a solicitar el DNI, tu nombre completo y a saber qué más... Por norma general, todo lo que tu banco te pediría para según qué operaciones.
¿Se te ha acelerado ya el pulso? ¿No? Pues otra cosa que te piden para pagar, claro, son los datos de tu tarjeta de crédito o débito.
Esta web no va ha hacer ningún movimiento en tu cuenta bancaria, lo que hace es crear listados de datos cruzados con nombres de titulares, DNIs y LOS DATOS DE TU TARJETA DE CRÉDITO O DÉBITO.
Luego, pasarán los meses y algún día quizá te molestes en comprobar qué servicio has contratado que te está cobrando 1,60€ desde hace ya un tiempo... Nadie no conoce a alguien que esté pagando un gimnasio al que no va... Digamos que nuestra negligencia por tan poco dinero (1,60€) nos tiene 7 meses sin reaccionar:
La cosa ya tiene perspectiva de fortuna: 72.000€/día x 7 meses = 504.000€
Todo esto con solamente un 9% de mensajes que consigan engañar a alguien y contando que cada día "reacciona" el mismo número de víctimas para dejar de serlo que el número de nuevas víctimas que consigue este phishing Correos.
Agradecimientos
El tiempo y recursos para investigar y publicar estos casos reales de scams o fraudes online y otras ciberamenazas provienen de contribuciones de Pymes locales.
